Скачать презентацию
Идет загрузка презентации. Пожалуйста, подождите
Презентация была опубликована 11 лет назад пользователемpress.nic.ru
1 Система DNS: Противодействие противоправной активности в Рунете Шаг первый: Угрозы Шаг второй: Классификатор Павел Храмцов
2 Основные угрозы Вывести из строя DNS (ТЦИ) Подменить соответствие в DNS (DNS-провайдеры) Использовать DNS в качестве средства доставки «плохого» контента (провайдеры и DNS- сервисы) Построить обузоустойчивый хостинг или регистратора доменов (Хостинг- провайдеры и регистраторы)
3 Ключевой элемент инфраструктуры
4 DDoS DNS Цель: затруднить возможность получения IP-адресов 12 февраля 2012 о подготовке к такой атаке сообщила команда Anonimous, потом правда от этого объявления они открестились.
5 DNS amplification Суть борьбы: - фильтровать на входе resolver-а по IP-отправителя; - входная фильтрация; - непубличные resolver-ы; - корректная обработка запросов;
6 DNS amplification Согласно VeriSign на корневых серверах за месяц отметилось примерно 10 млн. резолверов Согласно данным ТЦИ на авторитативных серверах RU за сутки отмечается в среднем 1,5 млн. резолверов со всего мира 1/4 отвечает на spoof-пакеты 1/8 - открытые резолверы Power dns resolver тыс ответов в секунду, у bind производительность в 4-5 раз меньше.
7 DNSChanger 4 млн зараженных компьютеров; регистратор EstDomains - Rove Digital; 2 года расследований ФБР; Привлечение лидеров рынка; 8 месяцев «лечения» through through through through through through DNS - серверы
8 Carlos Díaz Hidalgo Francisco J.Gomez Rodrigues Malware Cloud Distribution Что можно хранить в файле зоны?
9 И весь этот спам (2010) Начиная с февраля 2010 года интернет-домен.ru находится на первом месте по количеству зарегистрированного на нем нежелательного контента (спама), обогнав такие домены, как.com,.net,.cn и.info. Среди стран, где физически расположены серверы, с которых отправляется спам, Россия занимает 4 позицию с 5,3% от общего объема нежелательной почты. Первые три места достались США (9.7% спама), Бразилии (8.4%) и Индии (8.1%). При этом более 60% зарегистрированных в Китае спамерских URL-адресов имеют домен.ru. Таким образом, согласно исследованию, типичное спам-сообщение рассылается с компьютера, физически расположенного в США, Индии или Бразилии, но имеет URL на домене.ru, а его хостинг находится в Китае.» 2010 Mid-Year Trend and Risk Report треть всех доменов, зарегистрированных под спам в мире были зарегистрированы в зоне.RU. Почти все эти домены были зарегистрированы через двух российских регистраторов NAUNET и REGRU. «Russian Pro-Spam Registrars», М86 Security Lab, 09,2010
10 И весь этот спам (2011) «the top five countries sending spam include India, Russia, Brazil, South Korea and Indonesia.» Mid-Year Trend and Risk Report Россия занимает первое место в мире по уровню спама (82,2%) Intelegence Report, Symantec, May 2011 Russia and the USA maintained their status as the countries where malware was detected most frequently in mail traffic. Russia was the overall leader, with the amount of blocked s with malicious attachments decreasing slightly. Spam report: June Kaspersky Lab Cooperation from ICANN and Top Level Domains. Members of the Working Group were especially pleased with the cooperation and coordination of ICANN and the ccTLDs in the33process. They view ICANN and ccTLD cooperation as a precedent that will help future efforts and discourage malware authors from believing they can easily exploit that portion of the DNS system. Several said they want this emphasized publicly to reinforce that message and thank those organizations for the job they did. Conficker Working Group: Lessons Learned. June 2010 (Published January 2011)
11 И весь этот спам (2012) «Согласно статистике ZeuS Tracker по состоянию на 1 февраля, число активных центров управления ZeuS в Сети приближается к 200. Больше половины из них находятся на территории США, вдвое меньше в России. Из регистраторов хуже всех ситуация у российских «Наунет СП» (94 домена, ассоциированных с ZeuS) и REG.RU (78), из AS-провайдеров у азербайджанской ADaNET (15 C&C серверов) и американской GNAXNET (12)»приближаетсянаходятся «Зевс нашел тихую гавань», Kaspersky Lab, (2 февраля 2012) Spamhaus also recommends that networks use our Don't Route Or Peer list to drop all traffic originating from or destined for NAUNET's IP address space. This will help protect end users from the activities of the cybercriminals to whom NAUNET persists in providing services. Russian registrar NAUNET knowingly harbours Cybercriminals. Spamhous,
12 Microsoft против Джон Доу 1-39 AGAVA-REG-RIPN1 NAUNET-REG-FID90 R01-REG-RIPN4 REGGI-REG-RIPN1 REGISTRATOR-REG-RIPN5 REGRU-REG-RIPN107 REGTIME-REG-RIPN25 RU-CENTER-REG-RIPN39 Всего на анкетах, которым принадлежат эти домены, ~21000 доменов
13 Работа по новым правилам Когда администратор не виноват (не контролирует контент) Парковка Блоки коммерческой рекламы Дефекты ПО хостинг-провайдера
14 Классификатор целей использования доменов Account Имя домена Вредоносная активность Взломанный хостинг Fast-Flux Экспертная оценка
15 Вредоносная активность Malware Количество зарегистрированных в БД фактов размещения malware на данном домене Тип(ы) Malware если возможно определить в случае если мы распологаем такой информацией. First seen / Время начала активности (время первого зарегистрированного в БД размещения malware на данном домене) Last Seen / Время последней активности (последние данные о размещении malware по данному домену) Уровень доверия (0-10) в зависимости от достоверности источников и частоты жалоб (по фактам размещения malware) на данный домен присваивается число. Phishing Botnet
16 Вредоносная активность Malware Phishing Количество зарегестрированных в БД фактов размещения phishing на данном домене Phishing Target(s) (Ebay, Paypal, Яндекс Деньги etc..) если возможно определить First seen (по аналогии с malware) Last Seen Уровень доверия (0-10) Botnet
17 Вредоносная активность Malware Phishing Botnet Количество зарегестрированных в БД фактов размещения элементов управления ботнетами Botnet type (Zeus, Spyeye etc..) если возможно определить Уровень доверия (0-10)
18 Порядок накопления информации и ее использования 1.Предупреждение администратора о наличии проблем по аналогии с поисковыми системами 2.Предупреждение Хостинг-провайдеров о наличии проблем 3.Предупреждение регистраторов о наличии проблем 4.Подготовка информации для администрации КЦ и ТЦИ 5.Взаимодействие с коллегами и «братьями по оружию»
19 Что может получиться 0bc6652ff d881c93cf6b8799bNAUNET-REG-RIPN a9b9c9e188e eb5affdc125NAUNET-REG-RIPN bfb6cefe8a b38017ff000eR01-REG-RIPN e830a10f9b1a99eab41a9f48cb5f4R01-REG-RIPN ce76fd52928d523d8d21a8e411b0ba81REGRU-REG-RIPN22 c7556a0ea7b1c75c6fc5e0b93a340aaaREGRU-REG-RIPN bea4c3d0d74bf b4488a8REGRU-REG-RIPN1172 d9e7f1fd3f30c53a3154e934bfbde0fdREGRU-REG-RIPN fbfc98638b324d6e8d582e REGRU-REG-RIPN284 e96bb0fda446f0f e588c543REGRU-REG-RIPN b870324c21be ccf77fbed1d2REGRU-REG-RIPN d4491dfd1bf9c9e0e207923ef88ab858REGRU-REG-RIPN d8a5cbd622ca74ad0c51e8fd268REGRU-REG-RIPN ba2f1af9542ccf4ca92c488f615763eREGRU-REG-RIPN d8d689813feabf49a0a55ecf2e652687REGRU-REG-RIPN c291b37079df0d5cc9bb16fceabREGRU-REG-RIPN d0d5407b77ad303fe eec96bcREGRU-REG-RIPN a2345dd16e40f5e3f0f2c68b6abREGRU-REG-RIPN a83fc781c767ca42192b119da03116b8REGRU-REG-RIPN a44aa8a0e93fc013d78c2c5ccbe438REGRU-REG-RIPN a5e5a32a21166a24f58ce41ce7afa08REGTIME-REG-RIPN410 В дополнение к существующему бану было проверено и добавлено доменов А всего в бане домен
20 Резюме Быть изгоями плохо Нужно реально понимать «картину мира» Нужно интегрироваться в общую систему мероприятий по безопасности DNS Нужно и демонстрировать и реально участвовать в общем деле
Еще похожие презентации в нашем архиве:
© 2024 MyShared Inc.
All rights reserved.